Die qualifizierte elektronische Signatur (QES).
XiTrust > Ressourcen > Die qualifizierte elektronische Signatur
E-Signatur mit der Rechtsgültigkeit
einer händischen Unterschrift.
E-Signatur mit der Rechtsgültigkeit einer händischen Unterschrift.
Was ist eine qualifizierte elektronische Signatur (QES)?
Eine qualifizierte elektronische Signatur ist in der digitalen Welt dasselbe wie eine handschriftliche Signatur in der analogen Welt. Die qualifizierte elektronische Signatur (QES) ist per Gesetz die hochwertigste Form der digitalen Unterschrift. Sie unterscheidet sich von der einfachen elektronischen Signatur (Standard Electronic Signature = SES) und der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature = AES).
Die Grundlage für alle Formen der elektronischen Signatur ist die eIDAS-Verordnung des Europäischen Parlaments und des Rates der Europäischen Union. eIDAS ist die englische Abkürzung für electronic IDentification, Authentication and Trust Services. Der Name steht für die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der bis dahin geltenden Richtlinie 1999/93/EG.
Als Instrument rechtlicher Harmonisierung vereinfacht die eIDAS-Verordnung elektronische Signaturen und fördert den Ausbau digitaler Lösungen auf gesamteuropäischer Ebene. Definiert ist die QES in Artikel 3 Z 12 als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.
Die eIDAS-Verordnung strahlt die Rechtssicherheit aus, die Investitionen in Transformationsprozesse vielerorts erst motiviert hat. In Artikel 25, Abs. 2 der eIDAS-Verordnung ist geregelt, dass die qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche hat.
Die Grundlage für alle Formen der elektronischen Signatur ist die eIDAS-Verordnung des Europäischen Parlaments und des Rates der Europäischen Union. eIDAS ist die englische Abkürzung für electronic IDentification, Authentication and Trust Services. Der Name steht für die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der bis dahin geltenden Richtlinie 1999/93/EG.
Als Instrument rechtlicher Harmonisierung vereinfacht die eIDAS-Verordnung elektronische Signaturen und fördert den Ausbau digitaler Lösungen auf gesamteuropäischer Ebene. Definiert ist die QES in Artikel 3 Z 12 als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.
Die eIDAS-Verordnung strahlt die Rechtssicherheit aus, die Investitionen in Transformationsprozesse vielerorts erst motiviert hat. In Artikel 25, Abs. 2 der eIDAS-Verordnung ist geregelt, dass die qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche hat.
QES: Die Rolle des Trust Centers
Qualifizierte elektronische Signaturen basieren grundsätzlich auf einem qualifizierten Zertifikat. Dieses kann nur von einer sicheren Signaturerstellungseinheit (SSEE) ausgelöst werden. Ein staatlich anerkannter Vertrauensdiensteanbieter, ein so genanntes Trust Center, wie beispielweise D-Trust (Deutschland) oder A-Trust (Österreich) stellt die persönlichen Zertifikate zur Verfügung. Swisscom ist in diesem Kontext ein Sonderfall, weil sie dem Schweizer Signaturgesetz ZertES verpflichtet ist und nicht der eIDAS-Verordnung. Aber auch hier wird mit personengebundenen persönlichen Zertifikaten gearbeitet. Sie erfüllen die wesentliche Anforderung an eine qualifizierte elektronische Signatur, nämlich dass die unterschreibende Person zweifelsfrei identifizierbar ist und das betreffende Dokument inhaltlich unverändert bleibt. Anerkannte Vertrauensdiensteanbieter erkennt man daran, dass sie dem in der eIDAS-Verordnung formulierten Anforderungskatalog entsprechen.
Qualifizierte, und damit staatlich zertifizierte Trust Center sind zum Beispiel A-Trust (Österreich), D-Trust (Deutschland) oder Swisscom Trust Services (Schweiz). Sie sichern die maximale Beweiskraft einer QES. Sie lösen rechtssichere qualifizierte Signaturen durch die Ausgabe elektronischer Zertifikate aus. In Artikel 24, Abs. 1 präzisiert die eIDAS-Verordnung: „Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.“
Qualifizierte, und damit staatlich zertifizierte Trust Center sind zum Beispiel A-Trust (Österreich), D-Trust (Deutschland) oder Swisscom Trust Services (Schweiz). Sie sichern die maximale Beweiskraft einer QES. Sie lösen rechtssichere qualifizierte Signaturen durch die Ausgabe elektronischer Zertifikate aus. In Artikel 24, Abs. 1 präzisiert die eIDAS-Verordnung: „Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.“
Die zentralen Aufgaben eines Trust Centers sind:
- Ausgabe von qualifizierten Zertifikaten für elektronische Signaturen
- Elektronischer Zeitstempel
- Validierung von elektronischen Signaturen
- Archivierung von elektronischen Signaturen
Vertrauensdiensteanbieter: Die „Trust List“
Die eIDAS-Verordnung differenziert in qualifizierte und nicht-qualifizierte Vertrauensdiensteanbieter. Orientierung bietet hier für Unternehmen und Privatpersonen die sog. „Trust List“. In dieser Liste sind alle Anbieter und Dienstleistungen aufgeführt, die in den betreffenden EU-Staaten einen qualifizierten Status besitzen. Wer auf dieser Liste nicht aufgeführt ist, bleibt von qualifizierten Vertrauensdienstleistungen ausgeschlossen. Registrierung und Zertifikatserstellung sind kostenlos, bei dem wichtigsten österreichischen Trust Center A-Trust ist zum Beispiel auch die Handy-Signatur-App kostenlos für Nutzer.
Unternehmen, die elektronische Signaturen jeder Signaturqualität in ihren Prozessen zum Beispiel mit MOXIS verarbeiten, bezahlen für qualifizierte elektronische Signaturen über die Anzahl der erworbenen MOXIS-Lizenzen. Die E-Signatur-Lösung von XiTrust unterstützt dabei jede Form elektronischer Signaturen. Durch die Integrationstiefe können MOXIS-User auf der gewohnten Oberfläche ihres bevorzugten Office-Systems (z. B. SAP) verbleiben und Signaturen in jeder Qualität auslösen. MOXIS läuft dann „im Hintergrund“.
Unternehmen, die elektronische Signaturen jeder Signaturqualität in ihren Prozessen zum Beispiel mit MOXIS verarbeiten, bezahlen für qualifizierte elektronische Signaturen über die Anzahl der erworbenen MOXIS-Lizenzen. Die E-Signatur-Lösung von XiTrust unterstützt dabei jede Form elektronischer Signaturen. Durch die Integrationstiefe können MOXIS-User auf der gewohnten Oberfläche ihres bevorzugten Office-Systems (z. B. SAP) verbleiben und Signaturen in jeder Qualität auslösen. MOXIS läuft dann „im Hintergrund“.
Entdecken Sie MOXIS für Ihr Unternehmen.
Lernen Sie die führende E-Signatur-Plattform kennen – nutzen Sie die Vorteile der rechtssicheren digitalen Unterschrift, sparen Sie Zeit und Kosten ein.
Welche Signaturqualität für welches Dokument?
Die notwendige Signaturqualität hängt immer vom Einzelfall ab. Als Faustregel gilt: Nicht alle digital unterschriebenen Dokumente müssen zwingend qualifiziert elektronisch unterschrieben werden, also mit derselben Rechtwirkung wie eine handschriftliche Signatur. In vielen Fällen reicht die einfache elektronische Signatur oder die fortgeschrittene elektronische Signatur.
1. Einfache elektronische Signatur für:
- Lieferangebote (Zulieferer)
- Aufträge und Warenbestellungen (Einkauf)
- unternehmensinterne Dokumente
- interne Freigabeprozesse („Laufzettel“)
- Bekanntmachungen
2. Fortgeschrittene elektronische Signatur für:
- Kauf- und Mietverträge
- Kontoeröffnungen
- einfache Formen von Arbeitsverträgen
3. Qualifizierte elektronische Signatur für:
- Leiharbeitsverträge
- Arbeitsverträge
- Konsumentenkreditverträge
- diverse Behördendokumente
Schriftformerfordernis
Der Gesetzgeber in Deutschland formuliert die zwingende Anwendung der qualifizierten elektronischen Signatur in § 126 BGB als „Schriftformerfordernis“. Wann immer dieses gegeben ist, erzielt ein digital unterzeichnetes Dokument nur durch die QES seine Gültigkeit. Aber Vorsicht: Obwohl Signaturen gemäß eIDAS-Verordnung per Gericht nicht deshalb abgelehnt werden dürfen, weil sie digital geleistet werden, gibt es einzelne Fälle, in denen elektronische Signaturen nicht zugelassen sind. Wichtigstes Beispiel sind dabei notarielle Beglaubigungen, aber auch die Kündigung von Arbeitsverhältnissen!
Voraussetzungen für die QES
Die QES ist die einzige elektronische Signatur, die eine digitale Identität zwingend voraussetzt. Nutzer*innen müssen sich dazu einmalig identifizieren. Vor allem durch videogestützte Identifikationsverfahren (Video-Ident-Verfahren) wird der “digitale Pass” durch verschiedene Dienstleister und Plattformen ausgestellt. Benötigt werden im Online-Identifikationsverfahren ein gültiges Ausweisdokument, ein Computer und ein Handy. Der Identifikationsvorgang am Bildschirm dauert circa zehn Minuten. Eine der wichtigsten Plattformen für die online-gestützte Ausstellung digitalen Identität ist xIDENTITY, ein Service von XiTrust und A-Trust.
Alternativ können sich Einzelpersonen ihre digitale Identität auch persönlich durch den Service einer öffentlichen Identifikationsstelle ausstellen lassen. Diese Lösung ist im Unterschied zum Video-Ident-Verfahren zeit- und kostenintensiver, da für amtliche Identifikation Gebühren anfallen. Unternehmen nutzen im Regelfall eigene Registration Officers: Das ist gesondert eingeschultes Personal, das berechtigt ist, die Registrierung digitaler Identitäten innerhalb des Unternehmens durchzuführen.
Alternativ können sich Einzelpersonen ihre digitale Identität auch persönlich durch den Service einer öffentlichen Identifikationsstelle ausstellen lassen. Diese Lösung ist im Unterschied zum Video-Ident-Verfahren zeit- und kostenintensiver, da für amtliche Identifikation Gebühren anfallen. Unternehmen nutzen im Regelfall eigene Registration Officers: Das ist gesondert eingeschultes Personal, das berechtigt ist, die Registrierung digitaler Identitäten innerhalb des Unternehmens durchzuführen.
Doppelte Verschlüsselung
Digitale Identitäten werden in der Regel für fünf Jahre ausgestellt, bevor sie durch wiederholte Bestätigung der personengebundenen Daten erneuert werden. Weiterhin stellen Unternehmen und Behörden digitale Identitäten in einem persönlichen Face-to-Face-Verfahren aus. Berechtigt dazu sind die Registration Officers, die eine persönliche Berechtigung erworben haben, digitale Identitäten auszustellen. Zumeist haben einzelne Unternehmensangehörige diese Aufgabe übernommen.
Zustande kommt eine qualifizierte elektronische Signatur über eine Zwei-Faktor-Authentisierung. Diese beruht auf dem Austausch eines öffentlichen und eines nicht-öffentlichen Schlüssels: Der öffentliche Schlüssel (Public Key) ist jeder Person zugänglich. Er ermöglicht das Überprüfen der Signatur. Demgegenüber kann die Verwendung eines privaten Schlüssels (Private Key) nur vom Signatar autorisiert werden. Das Schlüsselpaar sichert Datenintegrität und -authentizität.
Zustande kommt eine qualifizierte elektronische Signatur über eine Zwei-Faktor-Authentisierung. Diese beruht auf dem Austausch eines öffentlichen und eines nicht-öffentlichen Schlüssels: Der öffentliche Schlüssel (Public Key) ist jeder Person zugänglich. Er ermöglicht das Überprüfen der Signatur. Demgegenüber kann die Verwendung eines privaten Schlüssels (Private Key) nur vom Signatar autorisiert werden. Das Schlüsselpaar sichert Datenintegrität und -authentizität.
Die qualifizierte elektronische Signatur: Fazit
Nicht für alle Dokumente ist die QES notwendig, per Gesetz vorgeschrieben ist sie nur in den oben beschriebenen Einzelfällen. Dennoch: Die QES beendet jede Form der Rechtsunsicherheit auf der Stelle, denn sie ist das digitale Äquivalent zu handgeschriebenen Unterfertigungen. Damit spart die QES auch Zeit, weil es keinen Anlass mehr gibt, jeden Einzelfall zu prüfen. Somit steht die QES am Ende für ein „Rundum-Sorglos“-Paket.
Weitere Ressourcen.
Die digitale Signatur
E-Signatur, digitale Signatur, elektronische Signatur: Was steckt dahinter?
Die eIDAS-Verordnung
Die maßgebliche rechtliche Grundlage in Bezug
auf die E-Signatur für die Europäische Union.
Digitale Identität – FAQ
Alles, was Sie zum Thema digitale Identität wissen müssen,
auf einen Blick.